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Verfahren, Anordnung sowie ein Satz mehrerer Anordnungen zum 
Schutz mehrerer Programme und/oder mehrerer Dateien vor einem 
5 unbefugten Zugriff durch einen Prozefi 

Die Erfindung betrifft ein Verfahren, eine Anordnung sowie 
ein Satz mehrerer Anordnungen zum Schutz mehrerer Programme 
vor einem unbefugten Zugriff durch einen ProzeB. 

Eiii Vexldhxen und eine Anordnung zum bcnutz mehrerer Program- 
me vor einem unbefugten Zugriff durch einen Anwender ist aus 
[1] bekannt. Der Zugriff sschutz fur ein Programm ist bei dem 
Verfahren aus [1] dadurch realisiert, daJJ jedem Benutzer ei- 
nes Systems eine Zugriff sberechtigungsdatei zugeordnet wird. 
Versucht ein Prozeli, auf ein Programm zuzugreifen, so wird 
uberpruft, ob der Benutzer, der den Prozeli gestartet hat, das 
Recht hat, auf das entsprechende Programm zuzugreifen. Der 
Zugriff wird nur gestattet, wenn der FrozeR von einem befug- 
ten und somit mit den Zugriff srechten ausgestatteten Benutzer 
gestartet wurde . 




Aus [2] ist ein sogenannter Virenscanner bekannt. Ein Viren- 
scanner uberpruft die gespeicherte, bekannte Folge von Daten, 
A^^|5 durch die das Programm realisiert ist. Wird eine Abweichung 
gegeniiber der bekannten Folge f estgestellt , so wird ein Be- 
nutzer des Systems benachrichtigt , dali moglicherweise das Sy- 
stem mit einem Virus behaftet ist. 



30 Aus [1] ist ferner ein Betriebssystem fur einen Rechner be- 
kannt. Das aus [1] bekannte Betriebssystem weist verschiedene 
Sicherheitslucken auf, durch die es einem Angreifer moglich 
ist, die Integritat von Programmen, die unter Verwendung des 
Betriebssystems durchgefuhrt werden,- zu gefahrden. 
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Ein moglicher Mechanismus , urn den Schutz der Programme bei 
Verwendung dieses Betriebssystems zu gefahrden ist ebenfalls 
in [5] beschrieben. 

Somit liegt der Erfindung das Problem zugrunde, mehrere Pro- 
gramme und/oder mehrere Dateien vor einem unbefugten Zugriff 
durch einen Prozeli zu schtitzen unter Verwendung eines Be- 
triebssystems, welches grundsatzlich Sicherheitslucken auf- 
weist . 



10 



Das Problem wird durch das Verfahren sowie durch die Anord- 
nung gemaB den Merkmalen der unabhangigen Patentansprtiche ge- 
lost . 



15 Bei einem Verfahren zum Schutz mehrerer Programme und/oder 
mehrerer Dateien vor einem unbefugten Zugriff durch einen 
Prozeii, ist jedem zu schutzenden Programm und/oder jeder zu 
schutzenden Datei jeweils ein AdreBraum zugeordnet. Jedem zu 
schutzenden Programm und/oder jeder zu schutzenden Datei ist 

20 ferner jeweils eine Prozeii-Datei zugeordnet, wobei in einer 
Prozel3-Datei gespeichert ist, welcher ProzeB oder welche Pro- 
zesse in dem jeweiligen AdreJiraum ablaufen darf oder durfen. 
Wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei fur einen Prozefi, der auf den 

25 AdreiJraum des zu schutzenden Programms und/oder der zu schut- 
zenden Datei zugreifen will wird uberprlift, ob der zugreifen- 
de ProzeI5 in der entsprechenden ProzeiJ-Datei angegeben ist. 
Fiir den Fall, dafi der zugreifende Prozeli in der ProzeJi-Datei 
angegeben ist, wird der zugreifende Prozeii gestartet; sonst 

30 wird der zugreifende Prozefi nicht gestartet, 

Bei einem weiteren Verfahren zum Schutz mehrerer Programme 
und/oder mehrerer Dateien vor einem unbefugten Zugriff durch 
einen Prozeli, ist jedem zu schutzenden Programm und/oder je- 
35 der zu schutzenden Datei jeweils ein AdreiJraum zugeordnet. 

Jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist ferner jeweils eine Prozeli-Datei zugeordnet, wobei 
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in einer Prozeli-Datei gespeichert ist, welcher ProzeB oder 
welche Prozesse in dem jeweiligen Adreliraum ablaufen darf 
Oder durfen. Wahrend des Ablaufs eines zu schiitzenden Pro- 
gramitis und/oder einer zu schiitzenden Datei fur einen ProzeB, 
5 der auf den AdreBraum des zu schiitzenden Programms und/oder 
einer zu schiitzenden Datei zugreifen will wird iiberpruft/ ob 
der zugreifende Prozeii in der entsprechenden Prozefi-Datei an- 
gegeben ist. Fur den Fall, daI3 der zugreifende ProzeB in der 
ProzeiJ-Datei angegeben ist, wird der zugreifende ProzeB wei- 
10 tergefiihrt; sonst wird der zugreifende ProzeB beendet. 



Eine Anordnung zum Schutz mehrerer Programme vor einem unbe- 
fugten Zugriff durch einen ProzeB, weist einen Prozessor auf, 
der derart eingerichtet ist, daB folgende Schritte durchfuhr- 
bar sind: 

- jedem zu schutzenden Programm und/oder jeder zu schiitzenden 
Datei ist jeweils ein AdreBraum zugeordnet, 

- jedem zu schiitzenden Programm und/oder jeder zu schiitzenden 
Datei ist jeweils eine ProzeB-Datei zugeordnet, 

- in einer ProzeB-Datei ist gespeichert, welcher ProzeB oder 
welche Prozesse in dem jeweiligen AdreBraum ablaufen darf 
Oder diirfen, 

- wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schiitzenden Datei wird fur einen ProzeB, der auf den 
AdreBraum des zu schiitzenden Programms und/oder der zu schiit- 
zenden Datei zugreifen will, iiberpruft, ob der zugreifende 
ProzeB in der entsprechenden ProzeB-Datei angegeben ist, 

- fiir den Fall, daB der zugreifende ProzeB in der ProzeB- 
Datei angegeben ist, wird der zugreifende ProzeB gestartet, 
und 

- sonst wird der zugreifende ProzeB nicht gestartet. 

Eine weitere Anordnung zum Schutz mehrerer Programme vor ei- 
nem unbefugten Zugriff durch einen ProzeB, weist einen Pro- 
zessor auf, der derart eingerichtet ist, daB folgende Schrit- 
te durchf iihrbar sind: 




GR 98 P 2369 



4 

- jedem zu schutzenden Prograinin und/oder jeder zu schiitzenden 
Datei ist jeweils ein AdreJirauiti zugeordnet, 

- jedem zu schutzenden Prograiniu und/oder jeder zu schutzenden 
Datei ist jeweils eine Prozeli-Datei zugeordnet, 

5 - in einer Prozefi-Datei ist gespeichert, welcher Prozeli oder 
welche Prozesse in dem jeweiligen Adreiirauin ablaufen darf 
Oder durfen, 

- wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei wird flir einen ProzeB, der auf den 

10 AdreBraum des zu schutzenden Programms und/oder der zu schiit- 
zenden Datei zugreifen will tiberpruft, ob der zugreifende 
ProzeB in der entsprechenden Prozeii-Datei angegeben ist, 

- fur den Fall, daB der zugreifende ProzeB in der ProzeB- 
Datei angegeben ist, wird der zugreifende ProzeB weiterge- 

15 fuhrt, und 

- sonst wird der zugreifende ProzeB beendet, 

Ein Satz mehrerer Anordnungen und eine mit jeder Anordnung 
des Satzes mehrerer Anordnungen verbundene Server-Anordnung 
20 zum Schutz mehrerer Programme vor einem unbefugten Zugriff 
durch einen ProzeB ist derart eingerichtet , daB 
jede Anordnung einen Prozessor aufweist, der derart einge- 
richtet ist, daB folgende Schritte durchfuhrbar sind: 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
25 Datei ist jeweils ein AdreBraum zugeordnet, i 

- jedem zu schutzenden Programm und/oder jeder zu schiitzenderr 
Datei ist jeweils eine ProzeB-Datei zugeordnet, 

- in einer ProzeB-Datei ist gespeichert, welcher ProzeB oder 
welche Prozesse in dem jeweiligen AdreBraum ablaufen darf 

30 oder diirfen, 

- wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei wird fur einen ProzeB, der auf den 
AdreBraum des zu schutzenden Programms und/oder der zu schiit- 
zenden Datei zugreifen will uberpriif-t, ob der zugreifende 

35 ProzeB in der entsprechenden ProzeB-Datei angegeben ist. 
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- fur den Fall, daI3 der zugreifende ProzeB in der Prozeli- 
Datei angegeben ist, wird der zugreifende Prozeii gestartet 
Oder weitergef uhrt , und 

- sonst wird ein Alarmsignal generiert und an die Server- 
5 Anordnung gesendet, 

und die Server-Anordnung einen Prozessor aufweist, der derart 
eingerichtet ist, daJ3 abhangig von mindestens einem empfange- 
nen Alarmsignal eine vorgegebene Aktion ausgelost wird. 

10 Unter Adreliraum ist in diesem Zusammenhang ein Programm- 

Bereich zu versLehen, — der jeweils einem Prograinm zugeordnet 
ist . 

Durch die Erfindung werden mehrere Sicherheitslucken des in 
[1] beschriebenen Betriebssystems geschlossen. 

Weiterhin wird das jeweils zu schutzende Programm gegen einen 
prozeduralen Angriff (Angriff auf einen Prozefii), z.B. gegen 
ein Trojanisches Pferd, geschiitzt. 

Ferner ist ein erheblicher Vorteil der Erfindung darin zu se- 
hen, daii bei skalierbarem Aufwand ein definiertes Mali an Si- 
cherheit fur das zu schutzende Programm gewahrleistet werden 
kann . 

Durch den Satz mehrerer Anordnungen, die jeweils mit der Ser- 
ver-Anordnung verbunden sind, ist ein Schutz lokal bei den 
Anordnungen moglich derart, daB bei einem erkannten Angriff 
ein Alarmsignal generiert und an die Server-Anordnung gesen- 
det wird, in der zentral eine vorgegebene Aktion ausgefuhrt 
wird, Auf diese Weise ist die Entdeckung lokaler Prozesse 
moglich, die der Server-Anordnung selbst nicht bekannt sind. 




35 



Bevorzugte Weiterbildungen der Erfindung ergeben sich aus den 
abhangigen Anspriichen. 
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Es ist in einer Weiterbildung zur Erhohung des erreichbaren 
Sicherheitsniveaus vorteilhaft, zumindest einem Teil der in 
einer ProzeB-Datei angegebenen Prozesse einen eindeutig kenn- 
zeichnenden kryptographischen Wert zu bilden, wobei der je- 
5 weilige Wert in der Prozeli-Datei enthalten ist. Fur den zu- 
greifenden Prozefi wird dessen kryptographischer Wert gebildet 
und bei der Oberpriifung werden die kryptographischen Werte 
der Prozesse miteinander verglichen. 



10 Der kryptographische Wert kann eine digitale Signatur sein. 
Er kann aber auch unter Verwendung einer Hash-Funktion, all- 
gemein einer Einwegf unktion, gebildet werden. 

In einer weiteren Ausgestaltung ist es vorteilhaft, in einem 
15 Auf rufmechanismus fur eine Funktion eines Betriebssystem- 

kerns, mit dem die Prograinitie ausgefiihrt werden, einen Aufruf 
des zugreifenden Prozesses zu einer Oberprlifungs funktion wei- 
terzuleiten, in der die Oberprlifung erfolgt. Auf diese Weise 
ist eine effiziente und somit kostengiinstige Realisierung der 
20 Erfindung moglich. 




25 



Die Oberpruf ungsf unktion kann als dynamisch bindbare Datei in 
den iiberwachten Adreliraum eingebunden werden, wodurch eine 
weitere Verbesserung in der Schut zwirkung erreicht wird. 



Ein Aufruf eines zugreifenden Prozesses kann auch zu einer 
Oberpriifungsf unktion, die in dem Betriebssystemkern inte- 
griert ist, weitergeleitet werden, wobei die Oberprufung in 
der Oberprufungs funktion erfolgt. Auf diese Weise kann die 
30 erreichbare Sicherheit des Schutzes fur die Programme noch 
weiter erhoht werden. 

Eine weitere Erhohung des erreichbaren Sicherheitsniveaus 
kann gewahrleistet werden, wenn ein -Schutzprogramm, welches 
35 derart eingerichtet ist, daR die Erfindung ausfiihrbar ist, 
verschlusselt gespeichert ist und zu Beginn des Verfahrens 
entschlusselt wird. Nach der Entschliisselung des Schutzpro- 
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gramms kann dessen Integritat uberpriift werden und das Ver- 
fahren wird nur dann ausgefuhrt/ wenn die Integritat des 
Schutzprogrammes gewahrleistet ist. Nach der Integri tatsprii- 
fung des Schut zprogramms kann die Integritat aller in den 
Prozefi-Dateien enthaltenen Prozesse liberpruft werden und das 
Verfahren wird nur ausgefuhrt, wenn die Integritat des 
Schutzprogramms gewahrleistet ist, Nach der Integritatspru- 
fung der Prozesse, kann die Integritat des zu schutzenden 
Programms uberpriift werden und das Programm sollte nur ausge- 
fuhrt werden, wenn die Integritat des Schutzprogramms gewahr- 
leistet ist. 

Die Erfindung ist vorteilhaft einsetzbar in dem in [1] be- 
schriebenen Be triebs system. 

Obwohl das im weiteren erlauterte Ausf uhrungsbeispiel den 
Schutz von Programmen beschreibt, so ist ebenfalls ein Schutz 
mehrerer Dateien ohne weiteres gemali der gleichen Vorgehens- 
weise moglich. 

Ein Ausfiihrungsbeispiel der Erfindung ist in den Figuren dar- 
gesellt und wird im weiteren naher erlautert. 

Es zeigen 

Figur 1 eine Skizze, in der das der Erfindung zugrundeliegen- 
de Prinzip symbolisch dargestellt ist, 

Figur 2 eine Skizze, in der ein Prozeiischichtenmodell darge- 
stellt ist ; 

Figur 3 ein Blockdiagramm, in dem ein Rechnernetz dargestellt 
ist ; 

Figur 4 ein Ablauf diagramm, in dem die einzelnen Verfahrens- 
schritte des Ausf uhrungsbeispiels dargestellt sind; 
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Figur 5 eine Skizze, in der das Prinzip einer moglichen Inte- 
gration der Erfindung in eineiti Betriebssystem darge- 
stellt ist; 



5 Figur 6 eine Skizze", in der die raogliche Realisierung gemaii 
Figur 5 detailliert dargestellt ist; 

Figur 7 eine Skizze, in der eine v/eitere mogliche Integration 
der Erfindung in ein Betriebssystem dargestellt ist. 

10 

FXQ.'3 zeigt emen ersten Kechner 301 mit einer Eingangs-/ 
Ausgangsschnittstelle 302, die liber einen Bus 303 mit einem 
Speicher 304 und einem Prozessor 305 verbunden ist, Ober die 
Eingangs-/Ausgangsschnittstelle 302 ist der erste Rechner 30 
15 uber ein Rechnernetz 306 mit einer Vielzahl von Rechnern 307, 
308, 309, 310, 311 verbunden. 



Das zur Ubertragung digitaler Daten verwendete Kommunikati- 
onsprotokoll ist das TCP/ IP-Protokoll (Transmission Control 
20 Protocol/ I_nternet Protocol) . 

Die Erfindung schutzt den ersten Rechner 301 vor unbefugten 
Zugriffen von Prozessen, die entweder in dem Speicher 304 des 
ersten Rechners 301 gespeichert sind oder von den weiteren 
25 Rechnern 307, 308, 309, 310, 311, die auf den ersten Rechner 
301 zugreif en/einwirken . 

In dem ersten Rechner 301 ist das in [1] beschriebene Be- 
triebssystem implementiert • 

30 

Das im weiteren detailliert erlauterte Prinzip, welches dem 
Verfahren bzw. der Anordnung zugrunde liegt, ist anschaulich 
in Fig. 1 dargestellt. 



35 



Symbolisch dargestellte Programme 101, 102, 103 sollen durch 
die Erfindung gegen unbefugten Zugriff durch mindestens einen 
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Prozeii 104, 105, 106, der oder die auf ein Programm 101, 102, 
103 zugreifen wollen, geschiitzt werden. 

Die Programme 101, 102, 103 und Prozesse 104, 105, 106 ver- 
5 wenden als Betriebssystem, dargestellt als eine die Programme 
101, 102, 103 und Prozesse 104, 105, 106 umrahmende Einheit 
107 das in [1] beschriebene Betriebssystem, 

Durch das Verfahren bzw. durch die Anordnung wird anschaulich 
10 urn jedes zu schiitzende Programm 101, 102, 103 eine programm- 

spez if ische ,,Schut zliulle" 108, — ^O^t — 110 g e bildet. Durch die 

^^^^ programmspezif ische Sicherung wird ein frei skalierbares Si- 
I^^H cherheitsniveau fur das zu schiitzende Programm 101, 102, 103 
erreicht . 

15 

Das Verfahren bzw, die Anordnung kann, wie in einem Prozefi- 
schichtenmodell 201 in Fig. 2 dargestellt, auf verschiedenen 
logischen Ebenen zu schutzender Programme 101, 102, 103 rea- 
lisiert werden. Fig ,2 zeigt drei logische Ebenen in dem Pro- 
20 zeUschichtenmodell 201. 

Die Sicherung vor einem Angreifer 205 kann auf der Ebene zu 
schutzender Anwendungsprogramme 202, auf der Ebene zu schiit- 
zender Betriebssystemprogramme 203 sowie auf der Ebene des 
S^^^5 Betriebssystemkerns, und auf der System-Hardware 207 erfol- 
gen. 

Je naher an der System-Hardware 207 die Sicherung eines Pro- 
gramms erfolgt, desto groJier ist das Sicherheitsniveau, das 
30 durch die Erfindung erreicht wird. 

Die Schutzhulle 206 wird zur Laufzeit des zu schtitzenden Pro- 
gramms 101, 102, 103 um das Programm „gelegf . 

35 Das Verfahren wird in Form zyklischer, nebenlauf iger Prozesse 
realisiert. Das Verfahren wird anhand des Ablauf diagramms, 
das in Fig, 4 dargestellt ist, erlautert. 
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Als erstes nach dem Start des Betriebssystems (Schritt 401) 
wird ein Schutzprogramm gestartet (Schritt 402). Das Schutz- 
programm ist derart eingerichtet / daB das im weiteren be- 
5 schriebene Verfahren ausfiihrbar ist. Das Schutzprogramm ist 
in verschlusselter Form gespeichert, wodurch eine Veranderung 
des Schutzprogramms selbst nicht moglich ist. 

Auch wird durch die Verschlusselung des Schutzprogramms eine 
10 detaillierte Analyse des das Verfahren ausfiihrenden Programms 
verninaert: , 

Zum Start des Schutzprogramms (Schritt 402) wird das Schutz- 
programm durch eine vorgegebene Startroutine, die den zur 
15 Entschliisselung des Schutzprogramms erf orderlichen Schlussel 
und eventuell weitere Grundf unktionen des Betriebssystems 
enthalt, entschlusselt , wodurch der eigentliche Programmcode 
des Schutzprogramms ermittelt wird. 

20 Auf diese Weise ist das Schutzprogramm im aktiven Zustand vor 
off-line Angriffen wie disassemblieren, debuggen, patchen, 
. . . , geschutzt . 

Nach der Entschlusselung (Schritt 402) des Schutzprogramms 
25 wird die Integritat des Schutzprogramms dynamisch uberpruft 
(Schritt 403) . 

Ist die Integritat des Schutzprogramms nicht gewahrleis tet , 
so wird das Verfahren abgebrochen (Schritt 404). 

In einem weiteren Schritt wird die Integritat der Prozesse 
des Betriebssystems dynamisch uberpruft (Schritt 405) . Bei 
negativer Integritatspruf ung wird das Verfahren wiederum ab- 
gebrochen (Schritt 404) . 

Ist die Integritat der Prozesse des Betriebssystems 405 ge- 
wahrleistet, so wird das zu schutzende Programm gestartet. 



30 



35 
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Das oben beschriebene Verfahren wird fiir jedes zu schutzende 
Programiti 101, 102, 103, dynamisch durchgef uhrt . 

5 Jedem zu schiitzenden Progamm 101, 102, 103 ist jeweils eine 
Prozelidatei 111, 112, 113 zugeordnet. 

In einer Prozelidatei 111, 112, 113 ist fur das zu schutzende 
Programm 101, 102, 103, dem die ProzeB-Datei 111, 112, 113 
10 zugeordnet ist, angegeben, welche Prozesse in einem AdreB- 

r aum , — der ebenfalls jedem Progra i oi T L 101, — 102 , — 103 eiadeuLig 

zugeordnet ist, ablaufen dtirfen. In den Prozeii-Dateien sind 
die Angaben mittels einer den jeweiligen ProzeB eindeutig 
kennzeichnenden Hash-Funktion gespeichert . 

Nach Start des jeweiligen Programms 101, 102, 103 (Schritt 
407) wird die Integritat des Programms 101, 102, 103 selbst 
uberpriift (Schritt 408). 

Bei negativer Integritatspriif ung wird wiederum das Verfahren 
abgebrochen (Schritt 404) . 

Bei positiver Integritatspriif ung, d.h* wenn die Integritat 
des Programms 101, 102, 103 gewahrleistet ist, wird das Ver- 
fahren fiir das zu schiitzende Programm 101, 102, 103 solange 
wiederholt, bis das zu schutzende Programm selbst beendet 
wird (Schritt 409) . 

Das Verfahren wird abhangig von einem vorgebbaren Ereignis 
Oder in einem vorgebbaren Zeitabstand zwischen zwei Ausfiih- 
rungen des Verfahrens iteriert (Schritt 410) , 

Sobald ein Prozeii 104, 105, 106 auf den AdreBraum bzw. das 
Programm 101, 102, 103 selbst zugrei-fen will, wird in einem 
weiteren Schritt (Schritt 411) uberpriift, ob der Prozeli 104, 
105, 106 in der Prozeli-Datei des zu schiitzenden Programms 



15 



20 



30 
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101, 102, 103, auf das der Prozefi 104, 105, 106 zugreifen 
will, enthalten ist oder nicht. 

Dies erfolgt durch Bildung eines Hash-Wertes iiber den zugrei- 
5 fenden ProzeJi 104, 105, 106 und Vergleich des Hash-Wertes des 
zugreifenden Prozesses 104, 105, 106 mit den Hash-Werten, die 
in der Prozeii-Datei gespeichert sind. Ist der zugreifende 
ProzeB in der ProzeiJ-Datei des zu schiitzenden Programms 101, 

102, 103 angegeben, so wird der ProzeB 104, 105, 106 durchge- 
10 fuhrt (Schritt 412) . 



Sonst wird der ProzeB 104, 105, 106 nicht gestartet (Schritt 
413) und der Benutzer wird uber einen moglichen Angriff auf 
sein Programm 101, 102, 103 informiert. 




15 

In vorgebbaren Zeitabstanden oder ereignisgesteuert wird fur 
jeden in dem Adreiiraum eines Programms 101, 102, 103 aktiven 
ProzeiJ, d.h. ablaufenden ProzeB, iiberpruft, ob der jeweilige 
ProzeB in der ProzeB-Datei des entsprechenden Programms 101, 
20 102, 103, dessen AdreBraum untersucht wird, enthalten ist. 

Ist dies nicht der Fall, so wird der entsprechende ProzeB be- 
endet und der Benutzer wird auf einen moglichen Angriff auf 
sein Programm 101, 102, 103 hingewiesen. 



25 Auf diese Weise ist eine regelmaBige Cberwachung des Pro- 
gramms gewahrleistet . 




Im weiteren werden Moglichkeiten zur Integration des oben be- 
schriebenen Verfahrens in das in [3] beschriebene Betriebssy- 
30 stem dargestellt: 

1. Moglichkeit: 

Integration einer dynamisch bindbaren Datei 501 in die Anwen- 
35 dungs-Programmier-Schnittstelle (Application Programming _In- 
terface, API) (vgl. Fig, 5 ) > 
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Die dynamisch bindbare Datei 501 wird im Adreftraum des poten- 
tiellen Angreif er-Programms 502 aktiv. Unter Verwendung der 
dynamisch bindbaren Datei 501 warden folgende Schritte in dem 
Adreiiraum des potentiellen Angreif er-Programms 502 ausge- 
5 fuhrt: 

• Von der dynamisch bindbaren Datei 501 werden alle Kenn- 
zeichnungen (Modulhandel ) von jeder weiteren dynamisch 
bindbaren Datei ermittelt, die zu iiberwachende Schnittstel- 
len-Aufrufe enthalt. Damit konnen alle Zugriffe auf alle zu 

10 liberwachenden dynamisch bindbaren Dateien ermoglicht wer- 

den , 

Als fur Angriffe relevant werden alle Schni ttstellen- 
Aufrufe zum direkten oder indirekten Starten, Beenden und 
Kontrollieren von Prozessen, z.B. schreibende Zugriffe auf 
15 den Prozelispeicher , Anderungen der Zugrif f srechte, prinzi- 
piell alle Schnittstellen-Bef ehle, die mit fremden Prozeii- 
markierungen (Prozeiihandles ) arbeiten, alle Befehle zum 
Realisieren von Message Hooks (eine programmierbare Filter- 
funktion ftir Nachrichten zur GUI-Interkommunikation 
20 (Graphic User I^nterface) und zur Prozeliinterkommunikation) , 

und flir Debugging-Zwecke betrachtet. 

Unter dem Ausdruck ,,indirektes Starten'' werden auch Mecha- 
nismen eines Compilers zur Selbstmodif ikation von Pro- 
grammcode, OLE (Object Link Embedding) und RPC-Mechanismen 
S^^H5 (Remote Procedure Call) sowie Zugriffe aus anderen Be- 

^^^F triebssystem-Prograimtiier-Schnittstellen verstanden. Ferner 

umfaBt dieser Ausdruck auch die Kontrolle der Mechanismen, 
die ftir den Ablauf dynamisch bindbarer Dateien 501 
(ActiveX-Bef ehle usw.) eingesetzt werden. 
30 • Ferner werden der dynamischen bindbaren Datei 501 Schrei- 
brechte ftir den Adrefiraum zugeordnet. 

• Anstelle des Original-Schnittstellen-Auf ruf s wird ein 
Sprung-Bef ehl gespeichert und die ersetzten Befehle des 
Original-Codes 503 werden gesichert, 

35 



Versucht nun ein ProzeJi 504 liber einen Schni ttstellenauf ruf 
APIFktCallO auf das zu schtitzende Programm 502 zuzugreifen 
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bzw. ein bisher inaktives Programm zu starten, so wird durch 
die dynamisch bindbare Datei 501 das Schut zprogramm 506 auf- 
gerufen. Als Obergabeparameter fur das Schut zprogranun 506 
wird dem Schutzprogramm 506 angegeben, welches Prograitiin 502 
5 durch den zugreif enden ProzeB 504 aufgerufen werden soli. 

Durch einen Vergleich rait in der ProzeiJ-Datei des jeweiligen 
Programms 502 angegebenen zugelassenen Schnittstellen- 
Aufrufen wird dann gemafl dem oben beschriebenen Verfahren 
10 entschieden, ob der Schnittstellen-Auf ruf 505 zugelassen wird 
Od e r nicht. 

Der zugreifende Prozeii 504 wird dann entweder ausgefiihrt odei( 
^abgeblockf . Wird in dem Schutzprogramm 506 entschieden, daii 
15 der zugreifende Prozeii 504 ausgefuhrt werden soli, so wird 
der Original-Code des Schnittstellen-Auf ruf s 503 ausgefuhrt 
und nach dessen Ausfuhrung wird ein Return-Code 507 an den 
zugreifenden ProzeB 504 zuruckgegeben . Sonst wird eine Feh- 
lermeldung 508 an den zugreifenden Prozefi 504 gemeldet, 

20 

Das oben beschriebene Verfahren verwendet den grundsatzlichen 
Mechanismus der sogenannten DLL-Inj ektion, die aus [5] be- 
kannt ist. 



25 2. Moglichkeit: 




Fig, 6 zeigt das in Fig. 5 beschriebene Prinzip in verfeinerter 
Realisierung. Diese Variante eignet sich insbesondere fur den 
Fall, dali sich f alschlicherweise ein als ,,sicher'' deklarier- 
30 ter ProzeB in dem Adreliraum befindet, der die dynamisch bind- 
bare Datei 601 selbst angreift. 

Durch das im folgenden beschriebene Verfahren wird gewahrlei- 
stet, daJJ ein Zugriff auf vorgegebene Daten nur aus der dyna- 
35 misch bindbaren Datei 601 selbst heraus moglich ist und Zu- 
griffe aus einem anderen Bef ehlsf olgesegment , insbesondere 
einer angreifenden Applikation, verhindert wird. 
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Das im folgenden dargestellte Verfahren wird vorzugsweise mit 
statischer Modifikation des oben beschriebenen Verfahrens 
realisiert . 

5 

Fiir das im weiteren beschriebene Verfahren werden folgende 
Annahmen getrof f en : 

• Zu schutzende Daten werden in einem geschutzten Bereich 602 
gespeichert, die bei der Initialisierung der dynamisch 

10 bindbaren Datei 601 angelegt und beschrieben wird und an- 

— schlieflend ein SchutzattribuL erhalt;^ — so daJi auf den ge- 

schiitzten Bereich 602 nur durch die dynamisch bindbare Da- 
tei 601 selbst zugegriffen werden kann. 

• Alle Bereiche, die ausfuhrbaren Code enthalten, erhalten 

15 das Schutzattribut „page_execute" , wodurch verhindert wird, 
dali der entsprechende ausfuhrbare Code nicht verandert wer- 
den kann, ohne daii das Schutzattribut zuvor geandert wird. 

• Jede Schnittstellen-Funktion 603 wird auf folgende Weise 
gesichert: Eine Einsprungsadresse fur die Schnittstellen- 

20 Funktion 603 wird durch eine modifizierte Einsprungsadres- 

se, die zu einer modif izierten Schnittstellen-Funktion 604 
f uhrt, ersetzt , 

In der modif izierten Schnittstellen-Funktion wird verzweigt 
zu einem Schnittstellen-Prozeii 605, der in der dynamisch 
V^^K5 bindbaren Datei 601 enthalten ist. Dieser Schnittstellen- 
^^^r ProzeJJ verzweigt zu dem Schut zprogramm 606, durch das fiir 

einen aufrufenden Prozefi 607, der mit einem Schnittstellen- 
aufruf 608 versucht, auf die Schnittstellenf unktion 603 zu- 
zugreifen, uberpruft, ob dieser Aufruf fur den zugreifenden 

30 ProzeB 607 zugelassen ist. 

1st dies der Fall, so wird die Schnittstellenf unktion 603 
ausgefuhrt und es wird nach Durchfuhrung der Schnittstel- 
lenfunktion 603 wiederum in die modifizierte Schnittstel- 
lenfunktion 604 verzweigt, was durch einen Pfeil 609 symbo- 

35 lisiert ist, Nach Ausfuhrung weiterer vorgebbarer Befehle 
wird in eine Schnittstellen-Ruckkehr-Funktion 610 ver- 
zweigt, was durch einen Pfeil 611 angedeutet ist. Dies er- 
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folgt durch einen Sprungbef ehl . In der Schnittstellen- 
Ruckkehr-Funktion 610 wird noch einmal iiberpruft (Schritt 
612), ob der Schnittstellen-Auf ruf 608 zugelassen ist. 
Wenn dies nicht der Fall ist, wird eine Fehlermeldung 613 
5 an den ProzeB 607 gesendet. Dies erfolgt ebenso, wenn in 

der Schnittstellen-Funktion 605 unter Verwendung des oben 
beschriebenen Verfahrens ermittelt wurde, daJi der Schnitt- 
stellen-Auf ruf nicht zugelassen ist. 

Wird jedoch auch in dem Oberpriif ungsschritt 612 in der 
10 Schnittstellen-Riickkehr-Funktion 610 ermittelt, daii der 

Schnittstellen-Auf ruf zugelassen ist, so wird das Ergebnis 
der aufgerufenen Schnittstellen-Funktion an den zugreifen- 
den ProzeB 607 gesendet (Schritt 614) , 

15 3- Moglichkeit: 

Die Erfindung kann auch in dem Betriebssystemkern integriert 
werden. Durch diese Ausfiihrungsf orm wird erreicht, daB ein 
Kontrollmechanismus integrierbar ist, dessen Umgehung unter 
20 Benutzerzugrif f srechten nicht mehr moglich ist, sondern nur 
unter den Zugriff srechten des Systemadministrators . Damit 
wird das erreichbare Sicherheitsniveau erheblich gesteigert. 

Ein hierzu verwendbarer Integrationsmechanismus ist in [4] 
25 beschrieben. Bei diesem Mechanismus werden Schnittstellen- 
Aufrufe beim Obertritt in den Modus des Betriebssystemkerns 
(Kernel-Modus) im Betriebssystemkern selbst "abgef angen" . Der 
Verwaltungsmechanismus ftir die Unterbrechnungs-Routine ist in 
diesem Fall im Betriebssystemkern realisiert und ist daher 
30 gegen Zugriffe von Prozessen, die im Benutzermodus aktiv 

sind, geschiitzt. Eine Obersicht verschiedener solcher mogli- 
chen alternativen Implementierungsmoglichkeiten ist in [4] zu 
f inden . 



35 



Fig , 7 zeigt in einer Obersicht zwei oben beschriebene Mog- 
lichkeiten zur Realisierung. 
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Ein Anwendungsprogramm 701 (Applikation) verwendet zum Pro- 
grammablauf Funktionen des Bet riebs systems , 

Die Funktionen des Betriebssystems sind gruppiert in Funktio- 
5 nen 702 des Betrieb'ssystems in einem Benut zermodus (User- 
Mode) und in Funktionen 703 des Kernel-Modus. Die Funktionen 
sind symbolisch jeweils als Blocke dargestellt. 

Durch dynamisch bindbare Dateien (*.dll) ist es moglich, das 
10 Verfahren im Rahmen des Benutzermodus zu integrieren, was 

durch einen eitiLen Block 704 — unter Verwendung einer dynamisch 
bindbaren Datei "NTDLL.DLL" 705 des in [1] beschriebenen Be- 
triebssystems erf ol gen kann . 

Die weitere Integrationsmoglichkeit des Verfahrens in den Be- 
triebssystemkern ist durch einen zweiten Block 706 angedeu- 
tet, wobei bei dieser Integrationsvariante der Mechanismus 
beim Ubergang des Benutzermodus in den Kernel-Modus inte- 
griert wird. 

Im weiteren werden einige Alternativen zu den oben erlauter- 
ten Ausfiihrungsbeispielen dargestellt: 

Der Schutz des Schut zprogramms kann dadurch erhoht werden, 
dafi die Startroutine im Betriebssystemkern integriert ist, 
z.B. als sogenannter Kernel-Modus-Prozefi oder auch System 
Service. 

Die dynamisch bindbare Datei kann auch sowohl statisch als 
auch dynamisch, d.h. lediglich wahrend der Laufzeit des zu 
schtitzenden Programms 502 oder wahrend der gesamten Laufzeit 
des Betriebssystems vorgesehen sein. 



15 



20 




35 



Auch konnen alternativ Sof tware-Unterbrechungs-Routinen als 
Alternative zu der dynamisch bindbaren Datei verwendet wer- 
den . 
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Die Erfindung kann sowohl durch Software als auch durch Hard- 
ware Oder zum Teil durch Software und zum Teil durch Hardware 
realisiert werden . 



5 Ferner kann/ wie in Fig. 4 dargestellt, bei negativer Integri- 
tatsprufung (Schritt 408) in einem weiteren Oberpruf ungs- 
schritt (Schritt 414) uberpruft werden, ob ein Nachladen des 
originalen Schut zprograinins und/oder eines zu schutzenden Pro- 
gramms von einer vertrauenswurdigen Instanz itioglich ist, oder 
10 ob eine Wiederherstellung des Schutzprogramms und/oder des zu 
schutzenden Programms moglich ist, derart , dali dessen/deren 
Integritat gewahrleistet ist. 

1st dies nicht moglich, so wird das Verfahren abgebrochen 
15 (Schritt 404) . 



1st dies jedoch moglich, so wird die Integritat des neu gela- 
denen bzw. wiederhergestellten Schutzprogramms welter dyna- 
misch uberpruft (Schritt 403) . 

In einer weiteren Variante ist es vorgesehen, dali die Rechner 
mit einem Server, in Fig. 1 der erste Rechner, verbunden sind. 



In jedem Rechner wird das oben beschriebene Verfahren zum 
25 Schutz eines Programms und/oder einer Datei durchgef lihrt . 

Fiir den Fall, daJi der zugreifende ProzeB in der Prozeii-Datei 
nicht angegeben ist, wird ein Alarmsignal generiert und an 
den Server gesendet. In dem Server wird abhangig von minde- 
30 stens einem empfangenen Alarmsignal eine vorgegebene Aktion 
ausgelost wird, beispielsweise ein zentral gesteuerter Ab- 
bruch eines Prozesses. 
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Im Rahmen dieses Dokuments wurden folgende Verof f entlichungen 
zitiert : 

[1] Microsoft Windows NT workstation resource kit: 
5 comprehensive resource guide and utilities for 

Windows NT 4.0, ISBN 1-57231-343-9, Microsoft Press, 
C. Doyle (ed.), S, 117 - 118, 1996 

[2] Dr. Solomon's Anti-Virus Toolkit Workstation, offentlich 
10 zuganglich im Internet am 03,07.1998 unter der Internet- 

Adresse : 

http : //www . dr Solomon . de/produkte/avtkws/avtkws . html 

[3] M. Petrek, Under the hood, MS- Journal, No. 12, December 
15 1996, 

[4] M. Russinovich, Windows NT System-Call Hooking, 
Dr. Dobb' s Journal, S. 42 - 46, Januar 1997, 



20 



[5] 



J. Richter, Advanced Windows, ISBN 1-573231-548-2, 
3rd Edition, S. 899 ff., Kapitel : Breaking Through 
Process-Boundary Walls, 1997 
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Pa ten tan spruche 

1 . Verf ahren ziom Schutz mehrerer Programme und/oder mehrerer 
Dateien vor einem unbefugten Zugriff durch einen Prozeii, 

5 - bei dem jedem zu schiitzenden Programm und/oder jeder zu 
schutzenden Datei jeweils ein Adreiiraum zugeordnet ist, 

- bei dem jedem zu schutzenden Programm und/oder jeder zu 
schutzenden Datei jeweils eine Prozeii-Datei zugeordnet ist, 

- bei dem in einer Prozeii-Datei gespeichert ist, welcher Pro- 
10 zeB Oder welche Prozesse in dem jeweiligen Adreliraum ablaufen 

darf Oder durfen, 

- bei dem wahrend des Ablaufs eines zu schutzenden Programms 
und/oder einer zu schutzenden Datei fur einen Prozeii, der au 
den Adreliraum des zu schutzenden Programms und/oder der zu 

15 schutzenden Datei zugreifen will iiberpriift wird, ob der zu- 

greifende Prozeii in der entsprechenden Prozefi-Datei angegeben 
ist, 

- bei dem fur den Fall, daJi der zugreifende Prozeii in der 
Prozeli-Datei angegeben ist, der zugreifende Prozeii gestartet 

20 wird, und 

- sonst der zugreifende Prozeii nicht gestartet wird. 

2. Verf ahren zum Schutz mehrerer Programme und/oder mehrerer 
Dateien vor einem unbefugten Zugriff durch einen Prozeii, 

25 - bei dem jedem zu schutzenden Programm und/oder jeder zu 
schutzenden Datei jeweils ein Adreliraum zugeordnet ist, 

- bei dem jedem zu schutzenden Programm und/oder jeder zu 
schutzenden Datei jeweils eine ProzeB-Datei zugeordnet ist, 

- bei dem in einer Prozeli-Datei gespeichert ist, welcher Pro- 
30 zeli Oder welche Prozesse in dem jeweiligen Adreliraum ablaufen 

darf Oder durfen, 

- bei dem wahrend des Ablaufs eines zu schutzenden Programms 
und/oder einer zu schutzenden Datei fiir einen Prozeii, der auf 
den Adreliraum des zu schutzenden Programms und/oder einer zu 

35 schutzenden Datei zugreifen will uberpruft wird, ob der zu- 
greifende Prozeii in der entsprechenden Prozeli-Datei angegeben 
ist. 
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- bei dem fiir den Fall, daii der zugreifende ProzeB in der 
ProzeB-Datei angegeben ist, der zugreifende ProzeB weiterge- 
fuhrt wird, und 

- sonst der zugreifende Prozeii beendet wird. 

5 

3. Verfahren nach Anspruch 1 oder 2, 

- bei dem fur zumindest einen Teil der in einer ProzeB-Datei 
angegebenen Prozesse ein den ProzeB eindeutig kennzeichnender 
kryptographischer Wert gebildet wird, 

10 - bei dem in der Prozeli-Datei jeweils der kryptographische 

Wert eines Prozesses enlhalLen ist, 

^k^^^ - bei dem fur den zugreifenden ProzeB dessen kryptographi- 
^^^B scher Wert gebildet wird, und 

- bei dem bei der Oberprufung die kryptographischen Werte der 
15 Prozesse miteinander verglichen werden, 

4. Verfahren nach einem der Anspruche 1 bis 3, 

bei dem in einem Auf rufmechanismus fur eine Funktion eines 
Betriebssystemkerns, mit dem die Programme ausgefuhrt werden, 
20 ein Aufruf des zugreifenden Prozesses einer Oberpruf ungsf unk- 
tion zugeleitet wird,. in der die Oberpruf ung erfolgt, 

5, Verfahren nach Anspruch 4, 

_ bei dem die Uberpriif ungsf unktion als dynamisch bindbare Datei 

^I^^^^S in den AdreBraum eingebunden wird. 

6, Verfahren nach einem der Anspruche 1 bis 3, 

- bei dem ein Aufruf des zugreifenden Prozesses einer Uber- 
priif ungsf unktion zugeleitet wird, in der die Uberprufung er- 

30 folgt, und 

- bei dem die Uberprufungs funktion in einen Betriebssystem- 
kern eines Betriebssystems, mit dem die Programme ausgefuhrt 
werden, integriert ist, 

35 7. Verfahren nach einem der Anspruche 1 bis 6, 
bei dem das Betriebssystem Windows NT ist. 
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8. Verfahren nach einem der Anspruche 1 bis 1, 
bei dem in einem vorgebbaren Zeitabstand fur jeden aktiven 
ProzeB, der zusammien mit einem zu schtitzenden Programm 
und/oder einer zu schtitzenden Datei ablauft, uberpruft wird, 
5 ob der aktive Prozefi in der ProzeiJ-Datei, die dem zu schtit- 
zenden Programm und/oder der zu schtitzenden Datei zugeordnet 
ist, enthalten ist und der Prozeli beendet wird, falls dies 
nicht der Fall ist. 

10 9. Verfahren nach einem der Ansprtiche 1 bis 8, 

bei dem abhangig von einem vorgebbaren Ereignis ftir jeden ak- 
tiven ProzeB, der zusammien mit einem zu schtitzenden Programm^ 
und/oder einer zu schutzenden Datei ablauft, iiberprlift wird, 
ob der aktive ProzeB in der ProzeB-Datei, die dem zu schtit- 

15 zenden Programm zugeordnet ist, enthalten ist und der Prozeii 
beendet wird, falls dies nicht der Fall ist. 

10. Verfahren nach einem der Anspruche 1 bis 9, 
bei dem ein Schutzprogramm, welches derart eingerichtet ist, 

20 dafi das Verfahren ausfiihrbar ist, verschlusselt gespeichert 
ist und zu Beginn des Verfahrens entschlusselt wird 

11. Verfahren nach einem der Ansprtiche 1 bis 10, 
bei dem die zu schtitzenden Programme und/oder die zu schiit- 

25 zenden Dateien, verschltisselt gespeichert sind und zu Beginn 
des Verfahrens entschlusselt werden, 

12. Verfahren nach Anspruch 10, 

bei dem nach der Entschlusselung des Schutzprogramms dessen 
30 Integritat tiberpriift wird und das Verfahren nur ausgeftihrt 
wird, wenn die Integritat des Schutzprogramms gewahrleistet 
ist. 

13. Verfahren nach Anspruch 12, 
35 bei dem nach der Integritatsprtif ung des Schutzprogramms die 

Integritat aller in den ProzeB-Dateien enthaltenen Prozesse 
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liberpruft wird und das Verfahren nur ausgefuhrt wird, wenn 
die Integritat des Schutzprogramms gewahrleistet ist. 

14. Verfahren nach Anspruch 13, 
5 bei dem nach der Integritatspruf ung der Prozesse die Integri- 
tat des zu schutzenden Programms und/oder der zu schiitzenden 
Datei uberpruft wird und das Verfahren nur ausgefuhrt wird, 
wenn die Integritat des Schutzprogramms gewahrleistet ist, 

10 15. Verfahren nach Anspruch 13 oder 14, 

b e i dem mindestens eine der — Integritatspr Qf ung — unLer Verwen- 
dung eines kryptographischen Verfahrens erfolgt. 

16. Verfahren nach einem der Anspriiche 3 bis 15, 
bei dem der kryptographische Wert durch Anwendung einer Hash- 
Funktion gebildet wird 

17. Anordnung zum Schutz mehrerer Programme vor einem unbe- 
fugten Zugriff durch einen Prozeli, 

mit einem Prozessor, der derart eingerichtet ist, dali folgen- 
de Schritte durchfuhrbar sind: 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils ein AdreJiraum zugeordnet, 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine Prozeli-Datei zugeordnet, 

- in einer Prozeii-Datei ist gespeichert, welcher Prozeii oder 
welche Prozesse in dem jeweiligen AdreBraum ablaufen darf 
Oder diirfen, 

- wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei wird fur einen ProzeB, der auf den 
AdreBraum des zu schutzenden Programms und/oder der zu schiit- 
zenden Datei zugreifen will uberpruft, ob der zugreifende 
ProzeB in der entsprechenden ProzeB-Datei angegeben ist, 

- fur den Fall, daB der zugreifende -ProzeB in der ProzeB- 
Datei angegeben ist, wird der zugreifende ProzeB gestartet, 
und 

- sonst wird der zugreifende ProzeB nicht gestartet. 



15 
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18. Anordnung zum Schutz mehrerer Programme vor einem unbe- 
fugten Zugriff durch einen ProzeJi, 

mit einem Prozessor, der derart eingerichtet ist, dafi folgen- 
5 de Schritte durchftihrbar sind: 

- jedem zu schlitzenden Programm und/oder jeder zu schtitzenden 
Datei ist jeweils ein Adreiiraum zugeordnet, 

- jedem zu schtitzenden Programm und/oder jeder zu schlitzenden 
Datei ist jeweils eine ProzeU-Datei zugeordnet, 

10 - in einer Prozefi-Datei ist gespeichert, welcher Prozeii oder 
welche Frozesse m dem ^eweiiigen AdreJiraum ablaufen darf 
Oder dlirfen, 

- wahrend des Ablaufs eines zu schtitzenden Programms und/ode 
einer zu schtitzenden Datei wird ftir einen Prozeii, der auf den 

15 Adreliraum des zu schtitzenden Programms und/oder der zu schtit- 
zenden Datei zugreifen will tiberprtift, ob der zugreifende 
Prozefi in der entsprechenden Prozefi-Datei angegeben ist, 

- fur den Fall, dali der zugreifende Prozeii in der ProzeB- 
Datei angegeben ist, wird der zugreifende Prozeli weiterge- 

20 ftihrt, und 

- sonst wird der zugreifende ProzeB beendet. 

19. Anordnung nach Anspruch 17 oder 18, 
bei der der Prozessor derart eingerichtet ist, daii 

- ftir zumindest einen Teil der in einer Prozeli-Datei angege- i 
benen Prozesse ein den Prozeli eindeutig kennzeichnender kryp-^ 
tographischer Wert gebildet wird, 

- in der Prozeli-Datei jeweils der kryptographische Wert eines 
Prozesses enthalten ist, 

- ftir den zugreifenden Prozefl dessen kryptographischer Wert 
gebildet wird, und 

- bei der Oberprufung die kryptographischen Werte der Prozes- 
se miteinander verglichen werden. 

35 20. Anordnung nach einem der Anspruche 17 bis 19, 

bei der der Prozessor derart eingerichtet ist, dali in einem 
Auf rufmechanismus ftir eine Funktion eines Betriebssystem- 
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kerns, mit dem die Programme ausgefuhrt werden, ein Aufruf 
des zugreifenden Prozesses einer tJberpruf ungsf unktion zuge- 
leitet wird, in der die Oberpriifung erfolgt. 

5 21. Anordnung nach einem der Ansprliche 17 bis 20, 

bei der der Prozessor derart eingerichtet ist, daii das Be- 
triebssystem Windows NT ist. 

22. Satz mehrerer Anordnungen und eine mit jeder Anordnung 
0 des Satzes mehrerer Anordnungen verbundenen Server-Anordnung 

z um Schutz mehrer e r Programme vor e inem unbefugten Zuyrllf 

durch einen ProzeJi, 

wobei jede Anordnung einen Prozessor aufweist, der derart 
eingerichtet ist, dafi folgende Schritte durchfuhrbar sind: 
15 - jedem zu schutzenden Programm und/oder jeder zu schiitzenden 
Datei ist jeweils ein Adreflraum zugeordnet, 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine Prozeii-Datei zugeordnet, 

- in einer Prozefi-Datei ist gespeichert, welcher Prozeii oder 
welche Prozesse in dem jeweiligen Adrefiraum ablaufen darf 
Oder diirfen, 

- wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei wird fiir einen ProzeB, der auf den 
Adrefiraum des zu schutzenden Programms und/oder der zu schut- 
zenden Datei zugreifen will uberpruft, ob der zugreifende 
ProzeB in der entsprechenden Prozefi-Datei angegeben ist, 

- fur den Fall, dafi der zugreifende Prozeii in der Prozeli- 
Datei angegeben ist, wird der zugreifende Prozefi gestartet 
Oder weitergef uhrt , und 

- sonst wird ein Alarmsignal generiert und an die Server- 
Anordnung gesendet, 

und wobei die Server-Anordnung einen Prozessor aufweist, der 
derart eingerichtet ist, dafi abhangig von mindestens einem 
empfangenen Alarmsignal eine vorgegebene Aktion ausgelost 
35 wird. 
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Zu sammenf as sung 

Verfahren, Anordnung sowie ein Satz mehrerer Anordnungen ztun 
Schutz mehrerer Programme und/oder mehrerer Dateien vor einem 
5 unbefugten Zugriff durch einen ProzeB 

Es wird jedem zu schutzenden Programm jeweils ein Bereich und 
eine Prozeli-Datei zugeordnet. In einer Prozefi-Datei ist ge- 
speichert, welcher ProzeB oder welche Prozesse in dem jewei- 

10 ligen Bereich ablaufen darf oder diirfen, Wahrend des Ablaufs 
des Programms wird fur einen Prozefi, der aur aas Frogramm zu- 
greifen will iiberpruft, ob der zugreifende Prozeli in der ent 
sprechenden Prozefidatei angegeben ist. Der zugreifende Proze 
wird nur ausgefuhrt, wenn er in der Prozelidatei angegeben 

15 ist. 

Signifikante Figur 1 
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API-Interception 



Kernel-Interception 



Kernel321Dl^i:^!GDI32.DLL;User32.DLL 

— — 



► 



KITn.QU^RMI 
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